Bußgeld wegen nicht hinreichender technischer und organisatorischer Maßnahmen

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber hat den Telekommunikationsdienstleister 1&1 Telecom GmbH (1&1) mit einem Bußgeld in Höhe von knapp 10 Mio. € belegt [LINK].

Grund für das Bußgeld waren keine hinreichenden technisch-organisatorischen Maßnahmen, um zu verhindern, dass bei der telefonischen Kundenbetreuung Unberechtigte Auskünfte zu Kundendaten erhalten können. So war es möglich, dass Anrufer, nur durch Angabe von Namen und Geburtsdatum, bereits weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. Das BfDI sah hierin den Verstoß gegen Artikel 32 DSGVO. Demnach ist ein Unternehmen verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung personenbezogener Daten systematisch zu schützen.

1&1 zeigte sich einsichtig und äußerst kooperativ, weshalb das Bußgeld im unteren Bereich des möglichen Bußgeldrahmens blieb. In Absprache mit dem BfDI werde derzeit ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt. Trotz der Maßnahmen sei ein Verhängen der Geldbuße geboten, da der Verstoß ein Risiko für den gesamten Kundenbestand darstellte.

1&1 kündigte an, gegen den Bußgeldbescheid Einspruch einzulegen und weiter dagegen vor zu gehen [LINK]. Dieser sei „absolut unverhältnismäßig“. Es ginge in diesem Verfahren nicht um den generellen Schutz der bei 1&1 gespeicherten personenbezogenen Daten, sondern um einen Vorfall aus dem Jahre 2018 bei dem es um die telefonische Abfrage eines ehemaligen Lebenspartners ginge.